[发明专利]深度网络通信粒度检测方法及其检测设备

说明书

技术领域

本发明涉及互联网络技术，更具体涉及一种深度网络通信粒度检测方法及其检测设备，用于互联网络精细化服务、管理以及安全领域。

背景技术

目前，互联网络进入大数据时代。大数据不仅是网络传输的数据流通量大，更重要的是个性化业务和应用的涌现。同时，网络标准协议（如HTTP）被私有协议、业务、应用、服务用作为载体或管道已是普遍现象。

互联网络的精细化服务、管理以及安全的前提是检测网络中端到端通信会话连接上所承载传输的业务应用类型或协议，深度数据流检测（Deep Flow Inspection，以下简称DFI）和深度数据包检测（Deep Packet Inspection，以下简称DPI）技术应用而生。

DFI是基于数据流动态行为特征的识别技术，其识别依据是将流量特征与后台流量模型作比较。DFI识别基于的出发点是不同的应用类型体现在数据流上的状态不同。

DPI是基于数据包内应用层协议特征的识别技术，其识别依据是将拆包获得的应用层协议匹配后台特征数据库，DPI识别基于的出发点是不同的应用类型体现在数据包内应用层协议特征不同。

一般情况下，DPI可以对流量中的具体应用类型做到比较准确的识别；而DFI只能对应用类型进行笼统分类，比如，对满足P2P流量模型的应用统一识别为P2P流量。但是，如果数据包是经过加密传输的，则采用DPI方式的检测技术难以识别其具体应用；而用DFI方式的检测则受影响较小，因为业务应用数据流的动态行为特征不会因加密而出现根本性改变。另外，基于DFI技术的系统在管理维护上的工作量要少于DPI系统，因为同一类的新业务与旧应用的流量特征不会出现大的变化，因此不需要频繁升级流量行为模型。基于DPI技术的带宽管理系统，总是滞后涌现的新应用，需要紧跟新协议和新型应用的产生而不断升级后台特征数据库，否则就不能有效识别、管理新业务下的带宽，提高模式匹配效率。

DFI和DPI都是以网络属性的五元组，即源IP地址、目的IP地址、源端口号、目的端口号、协议类型，作为区分通信会话连接的唯一标识。因此，对应于一个通信会话连接，不论是DFI还是DPI，一旦检测出一种业务应用，这个会话连接就被认为是已识别的，而无需再作进一步检测。

近年来，伴随着移动数字通信技术的发展，互联网络的并发会话连接数量以及在会话连接中嵌入多个不同类型的业务和应用呈现出指数型增长，例如新媒体、富媒体。进一步，大量并发会话连接的持续时间已不能再用秒和分钟为单位，而是以小时为单位。在一个端到端的会话连接中存在一个以上或多个不同类型的业务应用，而且其嵌入的模式和形态是非确定性的，其中，所述模式和形态的非确定性包括业务类型、应用状态、传输带宽、终端类型、端口分布、会话连接时长。在当前承载/嵌入网络应用模式已演变成为主流模式，即HTTP被随意利用承载传输涌现的各种类型个性业务和嵌入应用，以至于其变异性和复杂性完全不可预知，使对结果表象的事后响应与网络目标的管理之间需求差距越来越大。DFI和DPI的方法基础出现严重的局限性，即以五元组定义的端到端通信会话连接上所承载业务应用类型或协议不再是唯一的。同时，在某些已知应用中以采样为技术手段而实现DFI和DPI所产生的误差也就更加无法估计其置信度。

由于网络大数据的超大量、高速度、多类型的特点，发挥大数据的应用价值包括三个基本层面：数据的管理、数据的挖掘、数据的呈现，目的是为了能获得更直观的洞察力以及汲取新的知识。因此，必须具备能力以解析流通数据的最小检测粒度，而且包括在完整时序上的动态性和一致性，以致可以进一步挖掘流通数据的关联性和变异性。

发明内容

本发明克服上述DFI和DPI的技术缺陷，提出一种深度网络通信粒度检测（Deep Granularity Inspection，以下简称DGI）方法及其检测设备。